{"id":5618,"date":"2025-10-31T10:00:00","date_gmt":"2025-10-31T10:00:00","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=5618"},"modified":"2025-10-31T10:00:00","modified_gmt":"2025-10-31T10:00:00","slug":"bug-bounty-programm-trifft-ki-ein-zweischneidiges-schwert","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=5618","title":{"rendered":"Bug-Bounty-Programm trifft KI \u2013 ein zweischneidiges Schwert"},"content":{"rendered":"
\n
\n
\n
\n
<\/div>\n
KI-gest\u00fctztes Bug Hunting verspricht viele Vorteile. Ob sich diese auch in der Praxis verwirklichen, ist eine andere Sache.\n

DC Studio | shutterstock.com<\/p>\n<\/div>\n

K\u00fcnstliche Intelligenz (KI) wird zunehmend auch zum Treiber von Bug-Bounty-Programmen<\/a>. Sicherheitsexperten greifen auf Large Language Models (LLMs) zur\u00fcck, um:<\/p>\n

die Suche nach Schwachstellen zu automatisieren,<\/p>\n

Reverse Engineering von APIs zu bewerkstelligen, und<\/p>\n

Code-Basen schneller denn je zu durchleuchten.<\/p>\n

Allerdings gehen diese Effizienz- und Geschwindigkeitsgewinne in der Praxis mit neuen Problemen einher.<\/p>\n

Die Bug-Bounty-Filterblase<\/h1>\n

\u201cWir haben beobachtet, dass KI als Echokammer und Verst\u00e4rker f\u00fcr Personen fungiert, die glauben, etwas entdeckt zu haben. Das f\u00fchrt in eine Abw\u00e4rtsspirale der Best\u00e4tigungsverzerrung\u201d, erkl\u00e4rt etwa Inti De Ceukelaire<\/a>, Chief Hacker Officer bei der Bug-Bounty-Plattform Intigriti. Sicherheitsteams, die sich mit externen Schwachstellenmeldungen befassen, sollten KI-generierte Reports deshalb skeptisch betrachten, r\u00e4t der Sicherheitsexperte. Um fehlerhafte, KI-generierte Bug-Reports zu erkennen, helfen nach Meinung von De Ceukelaire Bug-Bounty-Plattformen mit integrierten Triage-Services: \u201cSolche Plattformen k\u00f6nnen die Erfolgsbilanz von Research-Experten \u00fcber einen l\u00e4ngeren Zeitraum messen und auch KI-Fehler identifizieren.\u201d<\/p>\n

Doch selbst wenn Triage an dieser Stelle helfen kann: Besonders Bug-Bounty-Programme, die nicht mit Ressourcen im \u00dcberma\u00df gesegnet sind (Stichwort: Open Source<\/a>), werden auch dadurch zus\u00e4tzlich belastet. Ein Beispiel liefert etwa das quelloffene Projekt Curl (ein Befehlszeilen-Tool, das etwa dazu genutzt wird, Dateien herunterzuladen). Projektleiter Daniel Stenberg beklagt in einem Blogbeitrag<\/a>, dass er und sein Team inzwischen viel zu viel Zeit damit verbringen, sich mit minderwertigen, von KI-Tools erstellten Bug Reports zu befassen: \u201cDas Curl-Sicherheitsteam besteht aus sieben Personen. Jeder Report besch\u00e4ftigt drei bis vier Personen f\u00fcr den Zeitraum von 30 Minuten bis hin zu drei oder vier Stunden.\u201d<\/p>\n

Dass die Ergebnisse, die KI-Tools beim Bug Hunting liefern, bislang eher gemischt ausfallen, best\u00e4tigen auch andere Security-Praktiker. Etwa Bobby Kuzma<\/a>, Manager bei der Security- und Compliance-Beratung ProCircular: \u201cWenn sie richtig angewendet und validiert werden, k\u00f6nnen KI-Tools aussagekr\u00e4ftige Ergebnisse liefern. Aber es gibt auch Bug-Bounty-Programme, die dadurch von einem \u00dcberma\u00df an Meldungen \u00fcberflutet werden<\/a>, die \u2013 um es vorsichtig auszudr\u00fccken \u2013 Schrott sind.\u201d<\/p>\n

Dass die Menschen, die diese KI-Tools bedienen, wissen, was sie tun, sieht auch Trevor Horwitz<\/a>, CISO bei der britischen Investment-Research-Plattform TrustNet, als Voraussetzung f\u00fcr erfolreiches Bug Hunting an: \u201cDie besten Ergebnisse erzielen nach wie vor Menschen, die wissen, wie man die Tools einsetzt. KI kann f\u00fcr Geschwindigkeit und Skalierbarkeit sorgen, aber erst menschliches Urteilsverm\u00f6gen sorgt f\u00fcr nachhaltige Ergebnisse.\u201d<\/p>\n

Gal Nagli<\/a>, Head of Threat Exposure beim Cloud-Sicherheitsanbieter Wiz, sieht das \u00e4hnlich: \u201cDer wahre Wert der KI liegt darin, erfahrene Forscher zu unterst\u00fctzen. Besonders, wenn es darum geht, authentifizierte Portale zu testen oder umfangreiche Code-Basen und JavaScript-Dateien zu analysieren. Das hilft, Schwachstellen<\/a> aufzudecken, die ohne KI bisher zu komplex oder zu subtil waren, um sie erkennen zu k\u00f6nnen.\u201d<\/p>\n

Vollautonome Agenten h\u00e4tten in diesem Bereich noch immer Schwierigkeiten, so der Wiz-Manager \u2013 besonders in Szenarien, in denen es auf den menschlichen Kontext ankomme. (fm)<\/p>\n

Sie wollen weitere interessante Beitr\u00e4ge rund um das Thema IT-Sicherheit lesen? <\/strong>Unser kostenloser Newsletter<\/strong><\/a> liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.<\/strong><\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"

KI-gest\u00fctztes Bug Hunting verspricht viele Vorteile. Ob sich diese auch in der Praxis verwirklichen, ist eine andere Sache. DC Studio | shutterstock.com K\u00fcnstliche Intelligenz (KI) wird zunehmend auch zum Treiber von Bug-Bounty-Programmen. Sicherheitsexperten greifen auf Large Language Models (LLMs) zur\u00fcck, um: die Suche nach Schwachstellen zu automatisieren, Reverse Engineering von APIs zu bewerkstelligen, und Code-Basen […]<\/p>\n","protected":false},"author":0,"featured_media":5619,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-5618","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/5618"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=5618"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/5618\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/5619"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=5618"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=5618"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=5618"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}